Vytvoření vlastních pravidel omezování rychlosti pro WAF služby Application Gateway v2

Omezování rychlosti umožňuje detekovat a blokovat neobvykle vysoké úrovně provozu určeného pro vaši aplikaci. Omezování rychlosti funguje počítáním všech přenosů, které odpovídají nakonfigurovaným pravidlu omezení rychlosti, a provedením nakonfigurované akce pro provoz odpovídající tomuto pravidlu, který překračuje nakonfigurovanou prahovou hodnotu. Další informace najdete v tématu Přehled omezování rychlosti.

Konfigurace vlastních pravidel omezení rychlosti

Následující informace použijte ke konfiguraci pravidel omezení rychlosti pro WAFv2 služby Application Gateway.

Scénář 1 – Vytvoření pravidla pro omezení provozu podle IP adresy klienta, které překračuje nakonfigurovanou prahovou hodnotu, odpovídající veškerému provozu

Portál

1. Otevřete existující zásady WAF pro Application Gateway.
2. Vyberte vlastní pravidla.
3. Vyberte Přidat vlastní pravidlo.
4. Zadejte název vlastního pravidla.
5. Jako typ pravidla vyberte Limit rychlosti.
6. Zadejte prioritu pravidla.
7. Zvolte 1 minutu pro dobu trvání limitu rychlosti.
8. Jako prahovou hodnotu limitu rychlosti (požadavky) zadejte 200.
9. Vyberte Klientskou adresu pro omezení rychlosti skupiny podle.
10. V podmínkách Podmínky zvolte IP adresu pro typ shody.
11. Pro Operaci vyberte Neobsahuje.
12. Pro podmínku shody, pod IP adresa nebo rozsah, zadejte 255.255.255.255/32.
13. Nastavení akce ponechte na Odmítnout provoz.
14. Vyberte Přidat a přidejte do zásady vlastní pravidlo.
15. Výběrem možnosti Uložit uložíte konfiguraci a nastavíte vlastní pravidlo jako aktivní pro zásady WAF.

Prostředí PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Rozhraní příkazového řádku

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scénář 2 – Vytvoření vlastního pravidla omezení rychlosti, které odpovídá veškerému provozu s výjimkou provozu pocházejícího z USA Provoz se seskupuje, počítá a omezuje rychlost na základě geografické polohy IP adresy zdroje klienta.

Portál

1. Otevřete existující zásady WAF pro Application Gateway.
2. Vyberte vlastní pravidla.
3. Vyberte Přidat vlastní pravidlo.
4. Zadejte název vlastního pravidla.
5. Jako typ pravidla vyberte Limit rychlosti.
6. Zadejte prioritu pravidla.
7. Zvolte 1 minutu pro dobu trvání limitu rychlosti.
8. Jako prahovou hodnotu limitu rychlosti (požadavky) zadejte 500.
9. Vyberte Geografické umístění pro omezení přenosové rychlosti skupiny podle.
10. V části Podmínky zvolte Geografické umístění pro typ Shody.
11. V části **Shoda proměnných** vyberte pro Proměnnou shody možnost RemoteAddr.
12. Vyberte Není pro Operaci.
13. Vyberte USA pro zemi nebo oblast.
14. Nastavení akce ponechte na Odmítnout provoz.
15. Vyberte Přidat a přidejte do zásady vlastní pravidlo.
16. Výběrem možnosti Uložit uložíte konfiguraci a nastavíte vlastní pravidlo jako aktivní pro zásady WAF.

Prostředí PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

Rozhraní příkazového řádku

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scénář 3 – Vytvoření vlastního pravidla omezení rychlosti odpovídající veškerému provozu pro přihlašovací stránku a použití proměnné GroupBy None Tím se seskupí a spočítá veškerý provoz, který odpovídá pravidlu, jako celek, a použije se akce na veškerý provoz odpovídající pravidlu (/přihlášení).

Portál

1. Otevřete existující zásady WAF pro Application Gateway.
2. Vyberte vlastní pravidla.
3. Vyberte Přidat vlastní pravidlo.
4. Zadejte název vlastního pravidla.
5. Jako typ pravidla vyberte Limit rychlosti.
6. Zadejte prioritu pravidla.
7. Zvolte 1 minutu pro dobu trvání limitu rychlosti.
8. Jako prahovou hodnotu limitu rychlosti (požadavky) zadejte 100.
9. Vyberte Žádné pro omezování rychlosti provozu podle skupin.
10. V části Podmínky zvolte Řetězec pro Typ Shody.
11. V části Match variables (Shoda proměnných) vyberte RequestUri pro Match variable (Shoda proměnné).
12. Vyberte Je pro Operaci.
13. Pro operátor vyberte Obsahuje.
14. Výběr transformace je volitelný.
15. Zadejte cestu k přihlašovací stránce pro hodnotu pro porovnání. V tomto příkladu používáme /login.
16. Nastavení akce ponechte na Odmítnout provoz.
17. Výběrem Přidat přidáte vlastní pravidlo do politiky.
18. Výběrem možnosti Uložit uložíte konfiguraci a nastavíte vlastní pravidlo jako aktivní pro zásady WAF.

Prostředí PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

Rozhraní příkazového řádku

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Další kroky

Přizpůsobení pravidel firewallu webových aplikací